我應該將 TMG 作為 Hyper-V 來賓執行嗎

好的，這是一個有趣的問題。分兩部分：

1. 是否建議在生產環境中將 TMG 作為 hyper-v 來賓執行？（有些事情困擾著我，這不是一個好主意，但可以讓 VM 獨占訪問 NIC，從技術上講，“主機”只是另一個具有特殊權限的來賓）。
2. 如果將 TMG 作為 hyper-v 來賓執行，我應該將主機放在內部網路中還是 DMZ 足夠安全？我在這裡擔心的顯然是主機可能被認為是一個薄弱環節。DMZ 在 NAT 後面，我沒有給主機任何外部訪問權限。我只允許內部機器訪問主機。這足夠還是我應該將主機帶入內部？

或者回到第 1 點，我應該完全放棄這個想法並將 TMG 放在單獨的物理機器上嗎？（所以我撒了謊，我猜它分為 3 個部分）。

為了澄清 我的設計如下（全部在物理盒上執行）

機器 A - Hyper-V 主機無權訪問通過 Hyper-V 創建的僅 NICS 的任何主機虛擬網路。還執行（目前）具有對內部域的單向信任的 DMZ DC。和DNS / DHCP內部。僅連接到 DMZ 虛擬網路。

機器 B - TMG 訪客機器三段配置：外部​​連接到分配了可公開訪問 IP 的物理 NIC。內部和 DMZ 都連接到虛擬網路。防火牆規則允許機器 A 處理與內部 DC/DNS 的 AD 通信。DMZ 的物理網卡也連接到無線 AP。

機器 C-?? 內部網路服務和客戶端它們連接到內部虛擬網路，並根據具體情況授予訪問權限。

一切正常，我只是想確保使用此配置不會在我的網路中造成一些漏洞。

1. 看起來微軟已經“正式”宣佈在 Hyper-V 上支持 TMG - http://www.microsoft.com/forefront/threat-management-gateway/en/us/default.aspx
2. 正如塔塔斯所說。僅僅因為 TMG 在虛擬機管理程序上，所以對虛擬機管理程序本身沒有技術要求。虛擬機管理程序下的虛擬到物理 NIC 分配是將 TMG 置於正常執行配置中的唯一要求。虛擬機管理程序可以根據您對每個環境的虛擬機管理程序的“正常”部署保持不變。

只要沒有猖獗的管理程序漏洞利用，那麼執行 TMG 和類似產品就/應該和在物理硬體上一樣“安全”。

話雖如此，當涉及到解決和/或響應帶外情況（例如網路使用率峰值、管理程序問題等）時，在物理硬體上擁有外圍類型的應用程序可能具有一些操作優勢。

引用自：https://serverfault.com/questions/281641